[HowTo] IPv6 inkl. Subnet für das LAN mit SixXS

[remur]

So, ich kann erfolgreichen Vollzug berichten, IPv6 über heartbeat läuft jetzt auch auf meiner 7050, jedoch erst seit ich den dsld mit pppd ausgetauscht habe
http://www.ip-phone-forum.de/showthread.php?t=169072

Nun läuft es aber großartig, meine 6000Leitung über ipv6 zu tunneln erzeugt so gut wie garkeine Last auf der Fritzbox, mit ayiya ist die box ja völlig überlastet gewesen.

Also für die aktuelle Entwicklung bedeutet das aus meiner Sicht IPv6 für die 7050 ist kritisch, für ayiya zu schwach und heartbeat läuft nicht, ich gehe mal schwer davon aus das der IPv6 tunnel mit fixer IP das gleiche problem hat wie der heartbeat tunnel.

 

[pirast]

hallo, funktioniert leider nicht. wenn mir wer helfen könnte wäre ich sehr dankbar. ich denke, es liegt an der radvd konfiguration, schließlich kann ich meine normale hauptip erreichen / per ipv6 anpingen.

folgende informationen habe ich von sixxs:

IPv6 Prefix 2a01:198:200:5xx::1/64
PoP IPv6 2a01:198:200:5xx::1
Your IPv6 2a01:198:200:5xx::2

in die radvd konfiguration habe ich dementsprechend folgendes eingetragen:

IPv6 Adresse 2a01:198:200:5xx::2/64
IPv6 Prefix 2a01:198:200:5xx::1/64

mein pc bekommt auch korrekterweise eine ip aus dem subnet, nämlich die 2a01:198:200:5xx:223:cdff:feb7:cc27/64. dennoch funktioniert ipv6 nicht, d.h. ping6 ipv6.google.com funktioniert z.b. nicht:

$ ping6 ipv6.google.com
PING ipv6.google.com(fx-in-x68.google.com) 56 data bytes

{keine antwort}

wäre für hilfestellungen sehr dankbar. martin

 

[dfroe]

Hallo Martin,
um den Fehler etwas einzuschränken: Kannst du denn direkt auf der FritzBox mit "ping6 ipv6.google.com" auf das IPv6-Internet zugreifen?

Gruß
David

 

[pirast]

Hi, auf der FRITZ!Box gibt es gar kein ping6. Es gibt lediglich ping, was zwar eine Option -6 hat, trotzdem zeigt er mir aber invalid option --6 an.. Martin PS Ich habe eine FRITZ!Box 7240

Ach und außerdem ist mir aufgefallen, dass er sogar Hostnamen zu IPs auflösen kann:

$ host ipv6.google.com
ipv6.google.com is an alias for ipv6.l.google.com.
ipv6.l.google.com has IPv6 address 2001:4860:a003::68

nur Antworten kommen halt nicht zurück - was im Nachhinein auch normal ist weil ich AAAA records über IPv4 abfragen kann..

Mein Fehler.. Hatte kein Subnet beantragt..

:::

habs inzwischen hinbekommen. noch eine kleine frage: dass ich die pcs einzeln mit einer firewall schützen muss ist mir klar. allerdings interessiert mich noch, ob die fritz box benutzeroberfläche weiterhin nur von innerhalb meines netzwerks erreichbar ist.

 

[Marc-Andre]

Moin!

Ich habe jetzt schon einige Stunden rum probiert, aber das mit dem IPv6 will nicht so wirklich klappten. Radvd startet und verteilt auch brav mein Präfix. Nur Aiccu will nicht wirklich. Ich habe wohl das selbe Problem wie weiter oben beschrieben das kein sixxs Netzwerk Device erstellt wird.

Ich habe einen Speedport 701 und ihn mit ner Firmware aus dem aktuellem Trunk gefüttert. Angeblich soll ja das Problem gefixt sein, aber bei mir scheint es nicht der Fall zu sein.

Wo müsste ich suchen um bei meiner Box den Fehler zu finden? In der BusyBox Console zeigt mir "aiccu autotest /var/mod/etc/aiccu.conf" und "aiccu test /var/mod/etc/aiccu.conf" überhaupt nix an.

BTW, ich habe auch den Openntpd installiert. Kann aber von der Box keine Zeit abfragen. Ist zwar nicht ganz so wichtig, aber komisch ist das schon alles.

Das Log ist auch nicht sehr ausführlich was ich gefunden habe:

rc.mod version freetz-devel-3655
crond is disabled
telnetd is disabled
Starting Freetz webinterface...done.
Starting dropbear SSH server...done.
Starting snmpd...done.
Looking for user 'ntp' ... created - now saving to data buffer ... done
Starting ntp server...
 * Restarting multid without ntp client...
Creating needed ntpd.conf links
done.
Starting aiccu...failed.
Set IPv6 address: 2a01:19xx:xxxx:1::1000/64 done.
Enable IPv6 forwarding...done.
Starting radvd...done.
swap is disabled

MfG Marc-Andre

 

[olistudent]

Was gibt denn "sh -x /etc/init.d/rc.aiccu start" aus?

Mfg Oliver

 

[Marc-Andre]

Was gibt denn "sh -x /etc/init.d/rc.aiccu start" aus?

This:

/var/mod/root # sh -x /etc/init.d/rc.aiccu start
+ DAEMON=aiccu
+ . /etc/init.d/modlibrc
+ export PATH=/sbin:/bin:/usr/sbin:/usr/bin:/mod/sbin:/mod/bin:/mod/usr/sbin:/mod/usr/bin
+ export LD_LIBRARY_PATH=/mod/lib:/mod/usr/lib
+ [ -n aiccu ]
+ [ ! -r /mod/etc/conf/aiccu.cfg ]
+ modlib_loadconfig
+ local CONF_FILE=/mod/etc/conf/aiccu.cfg
+ [ -r /mod/etc/conf/aiccu.cfg ]
+ . /mod/etc/conf/aiccu.cfg
+ export AICCU_AUTOMATIC=true
+ export AICCU_DAEMONIZE=true
+ export AICCU_ENABLED=yes
+ export AICCU_INTERFACE=sixxs
+ export AICCU_PASSWORD=xxxxxxxx
+ export AICCU_PIDFILE=/var/run/aiccu.pid
+ export AICCU_PROTOCOL=tic
+ export AICCU_SERVER=tic.sixxs.net
+ export AICCU_TUNNELID=T1xxxx
+ export AICCU_USERNAME=xxxx-SIXXS
+ export AICCU_VERBOSE=false
+ start
+ echo -n Starting aiccu...
Starting aiccu...+ write_config
+ [ -x /tmp/flash/aiccu_conf ]
+ /mod/etc/default.aiccu/aiccu_conf
+ [ -r /tmp/flash/aiccu.extra ]
+ modprobe ipv6
+ aiccu start /mod/etc/aiccu.conf
+ exitval=255
+ [ 255 -eq 0 ]
+ echo failed.
failed.
+ exit 255
/var/mod/root #

MfG Marc-Andre

 

[olistudent]

Okay.
Was steht denn in der .conf?

cat /mod/etc/aiccu.conf

Gibts einen Parameter um Aiccu im Vordergrund zu starten?

MfG Oliver

 

[Marc-Andre]

[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht. Lies noch mal die Forumregeln.]

/var/mod/root # cat /mod/etc/aiccu.conf
username xxxx-SIXXS
password xxxxxxxx
tunnel_id T1xxxx
ipv6_interface sixxs
protocol tic
server tic.sixxs.net
verbose false
daemonize true
automatic true
pidfile /var/run/aiccu.pid
/var/mod/root #

MfG Marc-Andre

 

[Silent-Tears]

Ersetz in der /mod/etc/aiccu.conf das "daemonize true" mit "daemonize false" und das "verbase false" mit "verbose true" und starte aiccu noch einmal mit:

aiccu start /mod/etc/aiccu.conf

und poste die ausgabe.

 

[Marc-Andre]

Ok. Es lag an der Uhrzeit. Da scheint das Paket OpenNTPD bei mir nicht zu funktionieren. Ich habs jetzt nen Image ohne OpenNTPD gebaut und rauf gespielt. Jedenfalls hat mein Speedport kurz nach dem Verbinden mit dem Internet ne genaue Uhrzeit. Der AICCU startet jetzt. Mal sehen obs auch Langzeit stabil ist und eine 24h Trennung überlebt.

Nen Tipp vielleicht wieso der Openntpd nicht will? Aber das wäre hier dann jetzt auch Off Topic.

MfG Marc-Andre

 

[mhorstmann]

Wenn ich jetzt SixXS einrichte und mein LAN in das /64 Subnetz route, dann kann ja jeder IPv6 Nutzer ungefiltert auf alle IPv6 Clients im LAN zugreifen, sofern diese nicht alle eine eigene Firewall haben.
Wie schützt ihr euch vor unerwünschtem Datenverkehr von außen?
Kann man die AVM Firewall darauf trimmen oder muss ich noch iptables mit ins Image kompilieren?

Gruß,

Moritz

 

[dfroe]

Wenn deine Computer öffentlich zugängliche IPv6-Adressen haben, musst du die Sicherung der Rechnern direkt auf diesen durchführen. Die FritzBox routet IPv6 ja nur noch und betreibt kein NAT, wie man dieses noch von IPv4 kennt. Eine einfache (korrekt konfigurierte) Software-Firewall auf den Rechnern sollte hierfür absolut ausreichend sein.

 

[maltic]

Hallo,

ich habe die Konfiguration nach Anleitung durchgeführt - läuft alles hervorragend - bis auf eine Kleinigkeit:

Beim Neustart der Box benötigt diese ziemlich lange, um einen DSL Sync hinzubekommen, die Box trainiert hier ziemlich viel. Während der radvd ohne Probleme startet, startet aiccu nicht, ich denke mal, das liegt daran, dass die DSL Leitung noch nicht steht. Wenn ich dann den radvd per Hand stoppe, aiccu und radvd dann wieder starte, passt alles. Kann man der Start der Dienste hinauszögern oder so einstellen, dass erst bei bestehender DSL Leitung gestartet wird?

Besten Dank!

M.

 

[cando]

@mhorstmann
ip6tables auf der Box können den ipv6 Verkehr überwachen. Mit dem neuen GUI (nhipt) werden die auf der Box auch voll unterstützt.

Inwieweit die Clients ausreichenden Schutz bieten hängt von OS und der installierten lokalen Firewalls ab. Sowohl Linux als auch Windows bedürfen einer sorgfältigen Konfiguration hierfür - ansonsten sind die Rechner nackt im Internet von überall erreichbar.

@maltic
Die Verzögerung beim Boot kannst Du per Script selbst realisieren (in der rc.custom oder debug.cfg)

 

[olistudent]

Wird denn bei der Änderung des Online-Status das onlinechanged-Skript aufgerufen? Dann könnte man darin die betreffenden Dienste neu starten.

MfG Oliver

 

[GrafHawk]

Hallo,

ich hab jetzt mein Freetz mit IPV6 gebaut, installiert und konfiguriert.
Meine Box ist eine 7270 mit der 80er-Firmware, dem Freetz aus dem Trunk (4152).
aiccu startet
radvd auch
Hab ein Subnet bei SixXS, die V6-IP wird auch aus diesem Subnet zugewiesen.
Nur ein Ping (z.B. auf www.six.heise.de) kommt nicht zurück.
Bin etwas ratlos, was noch nicht stimmen könnte.
Ich hab eine SixXS IPv6 mit einer 1 am Ende und eine Your IPv6 mit einer 2 am Ende.
Ich die mit der 2 als IPv6 Adresse genommen.
Die Subnetz-Adresse als IPv6 Prefix.

Was mir auffiel: Auf was muß das Standardgateway stehen?
Bei mir ist es eine verbindungslokale Adresse mit fe80: vorne.
Ich kann mir nicht denken, dass das richtig ist.
Nur: Wo kann man das beeinflussen?

Danke schon mal....
Achja: Ich hab Win7

 

[Marc-Andre]

Moin!

Also das mit der fe80 Adresse als Gateway ist richtig. Wieso auch nicht?

Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Physikalische Adresse . . . . . . : 00-1E-90-XX-XX-XX
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2a01:xxx:xxxx:x:xxxx:xxxx:xxxx:9569(Bevorzugt)
   Temporäre IPv6-Adresse. . . . . . : 2a01:xxx:xxxx:x:xxxx:xxx:xxxx:4f60(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::f870:672b:e19c:9569%11(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.222.1(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : fe80::215:cff:fede:8d2%11
                                       192.168.222.254
   DNS-Server  . . . . . . . . . . . : 192.168.222.254
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Die IP Adressen mit :1 und :2 am Ende sind die Tunnel Endpunkte.

sixxs     Link encap:IPv6-in-IPv4
          inet6 addr: fe80::a9fe:201/64 Scope:Link
          inet6 addr: 2a01:xxx:xxx:xx::2/64 Scope:Global
          inet6 addr: fe80::a9fe:101/64 Scope:Link
          inet6 addr: fe80::c0a8:defe/64 Scope:Link
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:156799 errors:0 dropped:0 overruns:0 frame:0
          TX packets:99717 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:188334845 (179.6 MiB)  TX bytes:10761152 (10.2 MiB)

:1 ist bei deinem Provider :2 ist dein lokaler in Sixxs. Diese IP Adresse darfst du in deinem LAN natürlich nicht mehr verwenden. Wenn du radvd richtig konfiguriert hast sollte dein Win7 sich eine IP Adresse aus deinem Subnet selber zuweisen. So wie bei mir oben zu sehen.

MfG Marc-Andre

 

[GrafHawk]

hm, da hab ich wohl alles richtig eingestellt.
Bei mir sieht das so aus:

Ethernet-Adapter LAN-Verbindung 2:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Physikalische Adresse . . . . . . : 00-25-22-XX-XX-XX
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2a01:xxx:xxx:x:xxxx:xxx:xxxx:974c(Bevorzugt)
   Temporäre IPv6-Adresse. . . . . . : 2a01:xxx:xxx:x:xxxx:xxxx:xxxx:bab1(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::c0b3:79c:9e94:974c%21(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.56.10(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Montag, 4. Januar 2010 10:20:43
   Lease läuft ab. . . . . . . . . . : Montag, 4. Januar 2010 22:20:43
   Standardgateway . . . . . . . . . : fe80::21f:3fff:fe42:19f8%21
                                       192.168.56.9
   DHCP-Server . . . . . . . . . . . : 192.168.56.9
   DNS-Server  . . . . . . . . . . . : 192.168.56.1
                                       192.168.56.9
   Primärer WINS-Server. . . . . . . : 192.168.56.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Also weitestgehend identisch.
Was Du als zweitest gepostet hast, weiß ich jetzt nicht, wo Du das her hast, so dass ich dass nicht nachsehen kann.

Trotzdem erreiche ich keine IP-V6-Server.

 

[Marc-Andre]

Das zweite ist aus der Console des Freetz Routers mit dem Befehl ifconfig.

Was sagt denn route -6 print bei dir im Windows 7?

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 11    266 ::/0                     fe80::215:cff:fede:8d2

Werden IPv6 Adressen richtig aufgelöst?

C:\Windows\System32>nslookup www.six.heise.de
Server:  fritz.box
Address:  192.168.222.254

Name:    www.six.heise.de
Address:  2a02:2e0:3fe:100::6

Kannst du von der Freetz Console IPv6 Anpingen?

/var/mod/root # ping6 www.six.heise.de
PING www.six.heise.de (2a02:2e0:3fe:100::6): 56 data bytes
64 bytes from 2a02:2e0:3fe:100::6: seq=0 ttl=59 time=47.249 ms
64 bytes from 2a02:2e0:3fe:100::6: seq=1 ttl=59 time=43.671 ms
64 bytes from 2a02:2e0:3fe:100::6: seq=2 ttl=59 time=46.633 ms
64 bytes from 2a02:2e0:3fe:100::6: seq=3 ttl=59 time=47.254 ms
64 bytes from 2a02:2e0:3fe:100::6: seq=4 ttl=59 time=44.146 ms

--- www.six.heise.de ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 43.671/45.790/47.254 ms
/var/mod/root #

MfG Marc-Andre